Tradycyjny plik obrazu powinien zawierać po prostu grafikę i metadane przydatne do jego wyświetlenia na ekranie. Obecnie jest to jednak bardziej skomplikowane i „prosty” obraz WebP może stać się złośliwym wektorem, który może być wykorzystywany przez cyberprzestępców.
Jak podaje Stack Diary, Google, Mozilla, Microsoft i Brave udostępniły krytyczne łatki zabezpieczeń dla swoich przeglądarek internetowych. Patche usuwają lukę, którą osoba atakująca może wykorzystać w celu uzyskania dostępu do złośliwego kodu lub uruchomienia na nim złośliwego kodu, a firmy przyznają, że była ona aktywnie wykorzystywana w środowisku naturalnym. NIST klasyfikuje tę lukę jako poważną. Zagrożone są też aplikacje innych firm — luka jest powiązana z szeroko stosowanym kodem używanym do renderowania obrazów WebP.
Google, Mozilla, Microsoft i Brave udostępniły krytyczne łatki zabezpieczeń dla swoich przeglądarek internetowych.
Stack Diary wspomniał, że aplikacje oparte na platformie Electron, takie jak do szyfrowania wiadomości Signal i Honeyview firmy Bandisoft, również wydały łatki rozwiązujące ten problem. Według strony problem dotyczy również innych aplikacji, takich jak Affinity, Gimp, LibreOffice, Telegram, wielu apek na Androida i „wieloplatformowych aplikacji zbudowanych przy użyciu Flutter”.
Szczegóły dotyczące tej luki nie są w tej chwili znane, ale problem dotyczy także przeglądarek i klientów internetowych opracowanych przez inne firmy.
Błąd, oznaczony jako CVE-2023-4863, jest opisywany jako przepełnienie bufora w obsłudze WebP przeglądarki Chrome przed wersją 116.0.5845.187. Osoba atakująca zdalnie może wykorzystać tę lukę, aby wykonać zapis w pamięci poza przydzielonym buforem za pośrednictwem spreparowanej strony HTML, co może prowadzić do wykonania dowolnego (i prawdopodobnie złośliwego) kodu.
Apple w tym tygodniu także wypuściło poprawkę zabezpieczeń dotyczącą prawdopodobnie tego samego problemu, chociaż w witrynie NIST znajduje się odniesienie do innego numeru problemu.
Najważniejsze, aby - niezależnie od tego, czy korzystamy z Google Chrome, Mozilla Firefox, Microsoft Edge czy też przeglądarki Brave - jak najszybciej dokonać aktualizacji, która łata ten problem. W innym wypadku narażacie się na poważne ryzyko.
Pokaż / Dodaj komentarze do: Chrome, Firefox, Brave i Edge właśnie załatały bardzo groźną lukę. Aktualizujcie przeglądarki